@Politica interna, europea e internazionale Dopo l’“exploit interpretativo” (chiamiamolo così) della presidente del Consiglio Giorgia Meloni, il Manifesto di Ventotene è tornato alla ribalta delle cronache. Ma tra coloro che oggi ne parlano –
@Informatica (Italy e non Italy 😁) Questa frode colpisce direttamente le carte di pagamento, bypassando le protezioni bancarie tradizionali indipendentemente dall’istituto finanziario. È veloce e difficile da bloccare, perché i fondi rubati vengono trasferiti istantaneamente e utilizzati subito per acquisti.
@Informatica (Italy e non Italy 😁) Il futuro dell’innovazione digitale passa attraverso un modello Edge Native, dove il calcolo non è più confinato in grandi data center centralizzati, ma si sposta geograficamente in prossimità dell’utente finale. Ecco come l'approccio Edge-first
@Politica interna, europea e internazionale Professoressa, ottant’anni fa l’Italia veniva liberata dal nazifascismo. Fra altri ottant’anni, il 25 aprile 2105, nel nostro Paese si celebrerà ancora la Festa della Liberazione? «Nessuno può saperlo, gli storici non sono veggenti. La Resistenza potrebbe diventare qualcosa che
che nostalgia quando i confini erano confini e gli uomini erano uomini... questo pensa probabilmente putin vedendo il confine italia-slovenia... niente più guardie armate e gente mitragliata mentre cerca di lasciare berlino est... che tristezza. che amarezza. e c'è da davvero chi difende questo passato, non ho capito bene a favore di chi.
«Da un anno e mezzo questa frontiera, come altre in Europa, è formalmente presidiata. Il Trattato di Schengen sulla libera circolazione delle persone è sospeso. Dovremmo esibire un documento, ma non accade. Nessuno ci degna di uno sguardo»
come ho cercato di spiegare più volte, indicazioni come le controindicazioni dei farmaci, non le scrivono i medici ma avvocati e compagnie di assicurazione (anche se sono "raccolti" da istituzioni mediche). in pratica qualsiasi evento dichiarato da chi assume il farmaco viene indicato, senza che sia verificata da un punto di vista medico una reale correlazione con l'assunzione del farmaco. questo significa che qualsiasi evento possa essere sicuro indicare a fini "assicurativi" viene riportato per prevenire cause legali alla casa farmaceutica, senza che debba essere neppure un evento medico. questo spiega la quantità abnorme di affetti indesiderati indicati per ogni farmaco, considerando che quelli medicalmente realistici e possibili di base sono di meno.
C'è un'immagine che circola da un po' e che ultimamente avete ricominciato a segnalarci, quella che vedete qui sopra, che riporta in rosso la scritta: PFIZER HA PUBBLICATO L'ELENCO DEGLI EFFETTI COLLATERALI DEL SUO VACCINO COVID, LA SPERIMENTAZIONE S…
i miei connazionali... lasciamo perdere e caliamo un velo pietoso.
cito: "I tanti che anche in Italia, a destra e a sinistra, continuano a elogiare gli sforzi diplomatici di Trump si stanno rendendo complici di questa operazione, ed è sempre più difficile credere che non se ne rendano conto."
@Notizie dall'Italia e dal mondo Nayib Bukele ha offerto a Trump, in cambio di un "affitto" di 20 mila dollari l'anno a detenuto, il Cecot, Centro de Confinamiento del Terrorismo. La più grande prigione del Salvador e di tutta l'America Latina L'articolo I MURI DI TRUMP. Per migranti e
@Notizie dall'Italia e dal mondo A Madrid smascherata un'agente di polizia che spiava i movimenti ecologisti, è il dodicesimo caso dal 2022. Il Ministro dell'Interno difende il programma di infiltrazione nelle organizzazioni politiche e sociali di sinistra e indipendentiste L'articolo SPAGNA. Smascherato l’ennesimo poliziotto infiltrato
We have been tracking the latest attack campaign by the Lazarus group since last November, as it targeted organizations in South Korea with a sophisticated combination of a watering hole strategy and vulnerability exploitation within South Korean software. The campaign, dubbed “Operation SyncHole”, has impacted at least six organizations in South Korea’s software, IT, financial, semiconductor manufacturing, and telecommunications industries, and we are confident that many more companies have actually been compromised. We immediately took action by communicating meaningful information to the Korea Internet & Security Agency (KrCERT/CC) for rapid action upon detection, and we have now confirmed that the software exploited in this campaign has all been updated to patched versions.
Timeline of the operation
Our findings in a nutshell:
At least six South Korean organizations were compromised by a watering hole attack combined with exploitation of vulnerabilities by the Lazarus group.
A one-day vulnerability in Innorix Agent was also used for lateral movement.
Variants of Lazarus’ malicious tools, such as ThreatNeedle, Agamemnon downloader, wAgent, SIGNBT, and COPPERHEDGE, were discovered with new features.
Background
The initial infection was discovered in November of last year when we detected a variant of the ThreatNeedle backdoor, one of the Lazarus group’s flagship malicious tools, used against a South Korean software company. We found that the malware was running in the memory of a legitimate SyncHost.exe process, and was created as a subprocess of Cross EX, legitimate software developed in South Korea. This potentially was the starting point for the compromise of further five organizations in South Korea. Additionally, according to a recent security advisory posted on the KrCERT website, there appear to be recently patched vulnerabilities in Cross EX, which were addressed during the timeframe of our research.
In the South Korean internet environment, the online banking and government websites require the installation of particular security software to support functions such as anti-keylogging and certificate-based digital signatures. However, due to the nature of these software packages, they constantly run in the background to interact with the browser. The Lazarus group shows a strong grasp of these specifics and is using a South Korea-targeted strategy that combines vulnerabilities in such software with watering hole attacks. The South Korean National Cyber Security Center published its own security advisory in 2023 against such incidents, and also published additional joint security advisories in cooperation with the UK government.
Cross EX is designed to enable the use of such security software in various browser environments, and is executed with user-level privileges except immediately after installation. Although the exact method by which Cross EX was exploited to deliver malware remains unclear, we believe that the attackers escalated their privileges during the exploitation process as we confirmed the process was executed with high integrity level in most cases. The facts below led us to conclude that a vulnerability in the Cross EX software was most likely leveraged in this operation.
The most recent version of Cross EX at the time of the incidents was installed on the infected PCs.
Execution chains originating from the Cross EX process that we observed across the targeted organizations were all identical.
The incidents that saw the Synchost process abused to inject malware were concentrated within a short period of time: between November 2024 and February 2025.
In the earliest attack of this operation, the Lazarus group also exploited another South Korean software product, Innorix Agent, leveraging a vulnerability to facilitate lateral movement, enabling the installation of additional malware on a targeted host of their choice. They even developed malware to exploit this, avoiding repetitive tasks and streamlining processes. The exploited software, Innorix Agent (version 9.2.18.450 and earlier), was previously abused by the Andariel group, while the malware we obtained targeted the more recent version 9.2.18.496.
While analyzing the malware’s behavior, we discovered an additional arbitrary file download zero-day vulnerability in Innorix Agent, which we managed to detect before any threat actors used it in their attacks. We reported the issues to the Korea Internet & Security Agency (KrCERT) and the vendor. The software has since been updated with patched versions.
Installing malware through vulnerabilities in software exclusively developed in South Korea is a key part of the Lazarus group’s strategy to target South Korean entities, and we previously disclosed a similar case in 2023, as did ESET and KrCERT.
Initial vector
The infection began when the user of a targeted system accessed several South Korean online media sites. Shortly after visiting one particular site, the machine was compromised by the ThreatNeedle malware, suggesting that the site played a key role in the initial delivery of the backdoor. During the analysis, it was discovered that the infected system was communicating with a suspicious IP address. Further examination revealed that this IP hosted two domains (T1583.001), both of which appeared to be hastily created car rental websites using publicly available HTML templates.
Appearance of www.smartmanagerex[.]com
The first domain, www.smartmanagerex[.]com, seemed to be masquerading as software provided by the same vendor that distributes Cross EX. Based on these findings, we reconstructed the following attack scenario. Attack flow during initial compromise
Given that online media sites are typically visited quite frequently by a wealth of users, the Lazarus group filters visitors with a server-side script and redirects desired targets to an attacker-controlled website (T1608.004). We assess with medium confidence that the redirected site may have executed a malicious script (T1189), targeting a potential flaw in Cross EX (T1190) installed on the target PC, and launching malware. The script then ultimately executed the legitimate SyncHost.exe and injected a shellcode that loaded a variant of ThreatNeedle into that process. This chain, which ends with the malware being injected into SyncHost.exe, was common to all of the affected organizations we identified, meaning that the Lazarus group has conducted extensive operations against South Korea over the past few months with the same vulnerability and the same exploit.
Execution flow
We have divided this operation into two phases based on the malware used. The first phase focused primarily on the execution chain involving ThreatNeedle and wAgent. It was then followed by the second phase which involved the use of SIGNBT and COPPERHEDGE.
We derived a total of four different malware execution chains based on these phases from at least six affected organizations. In the first infection case, we found a variant of the ThreatNeedle malware, but in subsequent attacks, the SIGNBT malware took its place, thus launching the second phase. We believe this is due to the quick and aggressive action we took with the first victim. In subsequent attacks, the Lazarus group introduced three updated infection chains including SIGNBT, and we observed a wider range of targets and more frequent attacks. This suggests that the group may have realized that their carefully prepared attacks had been exposed, and extensively leveraged the vulnerability from then on.
Chains of infection across the operation
First-phase malware
In the first infection chain, many updated versions of the malware previously used by the Lazarus group were used.
Variant of ThreatNeedle
The ThreatNeedle sample used in this campaign was also referred to as “ThreatNeedleTea” in a research paper published by ESET; we believe this is an updated version of the early ThreatNeedle. However, the ThreatNeedle seen in this attack had been modified with additional features.
This version of ThreatNeedle is divided into a Loader and Core samples. The Core version retrieves five configuration files from C_27098.NLS to C_27102.NLS, and contains a total of 37 commands. The Loader version, meanwhile, references only two configuration files and implements only four commands.
The Core component receives a specific command from the C2, resulting in an additional loader file being created for the purpose of persistence. This file can be disguised as the ServiceDLL value of a legitimate service in the netsvcs group (T1543.003), the IKEEXT service (T1574.001), or registered as a Security Service Provider (SSP) (T1547.005). It ultimately loads the ThreatNeedle Loader component.
Behavior flow to load ThreatNeedle Loader by target service
The updated ThreatNeedle generates a random key pair based on the Curve25519 algorithm (T1573.002), sends the public key to the C2 server, and then receives the attacker’s public key. Finally, the generated private key and the attacker’s public key are scalar-operated to create a shared key, which is then used as the key for the ChaCha20 algorithm to encrypt the data (T1573.001). The data is sent and received in JSON format.
LPEClient
LPEClient is a tool known for victim profiling and payload delivery (T1105) that has previously been observed in attacks on defense contractors and the cryptocurrency industry. We disclosed that this tool had been loaded by SIGNBT when we first documented SIGNBT malware. However, we did not observe LPEClient being loaded by SIGNBT in this campaign. It was only loaded by the variant of ThreatNeedle.
Variant of wAgent
In addition to the variant of ThreatNeedle, a variant of the wAgent malware was also discovered in the first affected organization. wAgent is a malicious tool that we documented in 2020, and a similar version was mentioned in Operation GoldGoblin by KrCERT. The origin of its creation is still shrouded in mystery, but we discovered that the wAgent loader was disguised as liblzma.dll and executed via the command line rundll32.exec:\Programdata\intel\util.dat,afunix1W2-UUE-ZNO-B99Z (T1218.011). The export function retrieves the given filename 1W2-UUE-ZNO-B99Z in C:\ProgramData, which also serves as the decryption key. After converting this filename into wide bytes, it uses the highest 16 bytes of the resulting value as the key for the AES-128-CBC algorithm and decrypts (T1140) the contents of the file located in C:\ProgramData (T1027.013). The upper four bytes of the decrypted data subsequently represent the size of the payload (T1027.009), which we identified as an updated version of the wAgent malware.
The variant of wAgent has the ability to receive data in both form-data and JSON formats, depending on the C2 server it succeeds in reaching. Notably, it includes the __Host-next-auth-token key within the Cookie field in the request header during the communication (T1071.001), carrying the sequence of communication appended by random digits. In this version, the new observed change is that an open-source GNU Multiple-Precision (GMP) library is employed to carry out RSA encryption computations, which is a previously unseen library in malware used by the Lazarus group. According to the wAgent configuration file, it is identified as the x64_2.1 version. This version manages payloads using a C++ STL map, with emphasis on receiving additional payloads from the C2 and loading them directly into memory, along with creating a shared object. With this object, the main module is able to exchange command parameters and execution results with the delivered plugins.
Operational structure of the wAgent variant
Variant of the Agamemnon downloader
The Agamemnon downloader is also responsible for downloading and executing additional payloads received from the C2 server. Although we did not obtain the configuration file of Agamemnon, it receives commands from the C2 and executes the payload by parsing the commands and parameters based on ;; characters, which serve as command and parameter delimiters. The value of the mode in response passed with a 2 command determines how to execute the additional payload, which is delivered along with a 3 command. There are two methods of execution: the first one is to load the payload reflectively (T1620), which is commonly used in malware, whereas the second one is to utilize the open-source Tartarus-TpAllocInject technique, which we have not previously seen in malware from the Lazarus group.
Structure of the commands where additional data is passed
The open-source loader is built on top of another open-source loader named Tartarus’ Gate. Tartarus’ Gate is based on Halo’s Gate, which is in turn based on Hell’s Gate. All of these techniques are designed to bypass security products such as antivirus and EDR solutions, but they load the payload in different ways.
Innorix Agent exploit for lateral movement
Unlike the previously mentioned tools, the Innorix abuser is used for lateral movement. It is downloaded by the Agamemnon downloader (T1105) and exploits a specific version of a file transfer software tool developed in South Korea, Innorix Agent, to fetch additional malware on internal hosts (T1570). Innorix Agent is another software product that is mandatory for some financial and administrative tasks in the South Korean internet environment, meaning that it is likely to be installed on many PCs of both corporations and individuals in South Korea, and any user with a vulnerable version is potentially a target. The malware embeds a license key allegedly bound to version 9.2.18.496, which allows it to perform lateral movement by generating malicious traffic disguised as legitimate traffic against targeted network PCs.
The Innorix abuser is given parameters from the Agamemnon downloader: the target IP, URL to download a file, and file size. It then delivers a request to that target IP to check if Innorix Agent is installed and running. If a successful response is returned, the malware assumes that the software is running properly on the targeted host and transmits traffic that allows the target to download the additional files from the given URL due to a lack of traffic validation.
Steps to deploy additional malware via the Innorix abuser
The actor created a legitimate AppVShNotify.exe and a malicious USERENV.dll file in the same path via the Innorix abuser, and then executed the former using a legitimate feature of the software. The USERENV.dll was sideloaded (T1574.002) as a result, which ultimately led to the execution of ThreatNeedle and LPEClient on the targeted hosts, thus launching the infection chain on previously unaffected machines.
We reported this vulnerability to KrCERT due to the potentially dangerous impact of the Innorix abuser, but were informed that the vulnerability has been exploited and reported in the past. We have confirmed that this malware does not work effectively in environments with Innorix Agent versions other than 9.2.18.496.
In addition, while digging into the malware’s behavior, we identified another additional arbitrary file download vulnerability that applies to versions up to 9.2.18.538. It is tracked as KVE-2025-0014 and we have not yet found any evidence of its use in the wild. KVE is a vulnerability identification number issued exclusively by KrCERT. We successfully contacted Innorix to share our findings containing the vulnerabilities via KrCERT, and they managed to release a patched version in March with both vulnerabilities fixed.
Second phase malware
The second phase of the operation also introduces newer versions of malicious tools previously seen in Lazarus attacks.
SIGNBT
The SIGNBT we documented in 2023 was version 1.0, but in this attack, version 0.0.1 was used at the forefront. In addition, we identified a more recent version, SIGNBT 1.2. Unlike versions 1.0 and 0.0.1, the 1.2 version had minimal remote control capabilities and was focused on executing additional payloads. The malware developers named this version “Hijacking”.
In the second phase of this operation, SIGNBT 0.0.1 was the initial implant executed in memory in SyncHost.exe to fetch additional malware. In this version, the C2 server was hardcoded without reference to any configuration files. During this investigation, we found a credential dumping tool that was fetched by SIGNBT 0.0.1, identical to what we have seen in previous attacks.
As for version 1.2, it fetches the path to the configuration file from its resources and retrieves the file to obtain C2 server addresses. We were able to extract two configuration file paths from each identified SIGNBT 1.2 sample, which are shown below. Another change in SIGNBT 1.2 is that the number of prefixes starting with SIGN are reduced to only three: SIGNBTLG, SIGNBTRC, and SIGNBTSR. The malware receives an RSA public key from the C2 and encrypts a randomly generated AES key using the public key. All traffic is encrypted with the generated AES key.
{ proxylist: [{ // C2 server list proxy: "https%0x3A//builsf[.]com/inc/left.php" }, { proxy: "https%0x3A//www.rsdf[.]kr/wp-content/uploads/2024/01/index.php" }, { proxy: "http%0x3A//www.shcpump[.]com/admin/form/skin/formBasic/style.php" }, { proxy: "https%0x3A//htns[.]com/eng/skin/member/basic/skin.php" }, { proxy: "https%0x3A//kadsm[.]org/skin/board/basic/write_comment_skin.php" }, { proxy: "http%0x3A//bluekostec[.]com/eng/community/write.asp" }, { proxy: "http%0x3A//dream.bluit.gethompy[.]com/mobile/skin/board/gallery/index.skin.php" }], wake: 1739839071, // Timestamp of Tuesday, February 18, 2025 12:37:51 AM status: 1 // It means the scheduled execution time is set. }
COPPERHEDGE
COPPERHEDGE is a malicious tool that was named by US-CERT in 2020. It is a Manuscrypt variant and was primarily used in the DeathNote cluster attacks. Unlike the other malware used in this operation, COPPERHEDGE has not changed dramatically, with only several commands being slightly changed compared to the older versions. This version, however, retrieves configuration information such as the C2 server address from the ADS %appdata%\Microsoft\Internet Explorer\brndlog.txt:loginfo (T1564.004). The malware then sends HTTP traffic to C2 with three or four parameters for each request, where the parameter name is chosen randomly out of three names in any order.
First HTTP parameter name: bih, aqs, org
Second HTTP parameter name: wib, rlz, uid
Third HTTP parameter name: tib, hash, lang
Fourth HTTP parameter name: ei, ie, oq
The actor primarily used the COPPERHEDGE malware to conduct internal reconnaissance in this operation. There are a total of 30 commands from 0x2003 to 0x2032, and 11 response codes from 0x2040 to 0x2050 inside the COPPERHEDGE backdoor.
The evolution of Lazarus malware
In recent years, the malware used by the Lazarus group has been rapidly evolving to include lightweighting and modularization. This applies not only to newly added tools, but also to malware that has been used in the past. We have observed such changes for a few years, and we believe there are more on the way.
During our investigation into this campaign, we gained extensive insight into the Lazarus group’s post-exploitation strategy. After installing the COPPERHEDGE malware, the actor executed numerous Windows commands to gather basic system information (T1082, T1083, T1057, T1049, T1016, T1087.001), create a malicious service (T1569.002, T1007) and attempt to find valuable hosts to perform lateral movement (T1087.002, T1135).
While analyzing the commands executed by the actor, we were able to identify the actor’s mistake when using the taskkill command: the /im parameter when using taskkill means imagename, which should specify the image name of the process, not the process id. This shows that the actor is still performing internal reconnaissance by manually entering commands.
Infrastructure
Throughout this operation, most of the C2 servers were legitimate but compromised websites in South Korea (T1584.001), further indicating that this operation was highly focused on South Korea. In the first phase, other media sites were utilized as C2 servers to avoid detection of media-initiated watering hole attacks. However, as the infection chain turned to the second phase, legitimate sites in various other industries were additionally exploited.
Unlike other cases, LPEClient’s C2 server was hosted by the same hosting company as www.smartmanagerex[.]com, which was deliberately created for initial compromise. Given that LPEClient is heavily relied upon by the Lazarus group for delivering additional payloads, it is likely that the attackers deliberately rented and configured the server (T1583.003), assigning a domain under their control to maintain full operational flexibility. In addition to this, we also found that two domains that were exploited as C2 servers for SIGNBT 0.0.1 resolved to the same hosting company’s IP range.
We confirmed that the domain thek-portal[.]com belonged to a South Korean ISP until 2020 and was the legitimate domain of an insurance company that was acquired by another company. Since then, the domain had been parked and its status was changed in February 2025, indicating that the Lazarus group re-registered the domain to leverage it in this operation.
Attribution
Throughout this campaign, several malware samples were used that we managed to attribute to the Lazarus group through our ongoing and dedicated research conducted for a long time. Our attribution is supported by the historical use of the malware strains, as well as their TTPs, all of which have been well documented by numerous security solutions vendors and governments. Furthermore, we have analyzed the execution time of the Windows commands delivered by the COPPERHEDGE malware, the build timestamps of all malicious samples we described above, and the time of initial compromise per host, demonstrating that the timeframes were mostly concentrated between GMT 00:00 and 09:00. Based on our knowledge of normal working hours in various time zones, we can infer that the actor is located in the GMT+09 time zone.
Timeline of malicious activity
Victims
We identified at least six software, IT, financial, semiconductor manufacturing and telecommunication organizations in South Korea that fell victim to “Operation SyncHole”. However, we are confident that there are many more affected organizations across a broader range of industries, given the popularity of the software exploited by Lazarus in this campaign.
Conclusion
This is not the first time that the Lazarus group exploited supply chains with a full understanding of the software ecosystem in South Korea. We have already described similar attacks in our analysis reports on the Bookcode cluster in 2020, the DeathNote cluster in 2022, and the SIGNBT malware in 2023. All of these cases targeted software developed by South Korean vendors that required installation for online banking and government services. Both of the software products exploited in this case are in line with past cases, meaning that the Lazarus group is endlessly adopting an effective strategy based on cascading supply chain attacks.
The Lazarus group’s specialized attacks targeting supply chains in South Korea are expected to continue in the future. Our research over the past few years provided evidence that many software development vendors in Korea have already been attacked, and if the source code of a product has been compromised, other zero-day vulnerabilities may continue to be discovered. The attackers are also making efforts to minimize detection by developing new malware or enhancing existing malware. In particular, they introduce enhancements to the communication with the C2, command structure, and the way they send and receive data.
We have proven that accurate detection and quick response can effectively deter their tactics, and in the meantime, we were able to remediate vulnerabilities and mitigate attacks to minimize damage. We will continue to monitor the activity of this group and remain agile in responding to their changes. We also recommend using reliable security solutions to stay alert and mitigate potential risks. Our product line for businesses helps identify and prevent attacks of any complexity at an early stage.
Kaspersky products detect the exploits and malware used in this attack with the following verdicts: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*.
[Michal Sapka] wanted to learn a new skill, so he decided on the Commodore 64 assembly language. We didn’t say he wanted to learn a new skill that might land him a job. But we get it and even applaud it. Especially since he’s written a multi-part post about what he’s doing and how you can do it, too. So far, there are four parts, and we’d bet there are more to come.
The series starts with the obligatory “hello world,” as well as some basic setup steps. By part 2, you are learning about registers and numbers. Part 3 covers some instructions, and by part 4, he finds that there are even more registers to contend with.
One of the great things about doing a project like this today is that you don’t have to have real hardware. Even if you want to eventually run on real hardware, you can edit in comfort, compile on a fast machine, and then debug and test on an emulator. [Michal] uses VICE.
The series is far from complete, and we hear part 5 will talk about branching, so this is a good time to catch up.
Dopo la morte di Papa Francesco, il Vaticano si sta preparando per uno degli eventi religiosi più importanti e segreti: un conclave durante il quale i cardinali di diversi Paesi eleggeranno il nuovo pontefice. Secondo il canone ecclesiastico, la procedura deve iniziare entro e non oltre venti giorni dalla morte del capo della Chiesa cattolica. Ma nel 2025, organizzare un antico rituale si trova ad affrontare sfide mai viste nei secoli precedenti.
Le minacce alla privacy di oggi non hanno precedenti: droni dotati di microtelecamere, intelligenza artificiale in grado di leggere i movimenti delle labbra, satelliti ad alta risoluzione, dispositivi di registrazione miniaturizzati e una rete globale di piattaforme social in cui qualsiasi fuga di notizie diventa di dominio pubblico in pochi secondi. In tali condizioni, il compito del Vaticano non è solo quello di garantire il silenzio e la privacy, ma di creare una capsula tecnologicamente impenetrabile in cui il voto avverrà in completo isolamento dal mondo esterno.
L’esperienza dei conclavi precedenti, in particolare l’elezione di Papa Francesco nel 2013, dimostra che il Vaticano si sta preparando in anticipo a un simile scenario. Da allora le misure di sicurezza sono state notevolmente rafforzate. L’area dove i cardinali vivono e lavorano durante il conclave, si trasforma in in un bunker digitale. Vengono installati jammer che bloccano i segnali radio di tutti i tipi, dalle comunicazioni mobili al Wi-Fi. Anche se in qualche modo un dispositivo proibito dovesse entrare, resterebbe comunque inutile.
L’ispezione tecnica dei locali inizia diversi giorni prima dell’arrivo dei partecipanti. Il personale addetto alla sicurezza controlla pareti e mobili alla ricerca di microfoni nascosti, microcamere laser e altri potenziali dispositivi di sorveglianza. Ogni persona ammessa viene sottoposta a un controllo approfondito: borse, vestiti e scarpe vengono scansionati e, se necessario, sottoposti a radiografia. La probabilità che qualcuno possa introdurre un dispositivo per registrare o trasmettere informazioni è minima.
Un’ulteriore misura consiste nel coprire le finestre con una speciale pellicola opaca. Ciò avviene non solo nella sala riunioni, ma anche negli alloggi dei cardinali. Il motivo è che i satelliti moderni sono in grado di riconoscere i volti in orbita e gli algoritmi di intelligenza artificiale sono in grado di leggere il parlato dai movimenti delle labbra. Le finestre vengono sigillate prima dell’arrivo dei partecipanti per impedire qualsiasi tentativo di osservazione visiva. Inoltre, durante l’intera procedura è loro vietato anche solo avvicinarsi alle finestre o aprirle.
Nel 2018, il sistema di videosorveglianza del Vaticano comprendeva 650 telecamere controllate da un centro di controllo sotterraneo. Da allora, la rete non ha fatto altro che espandersi e modernizzarsi. Inoltre, la sicurezza è monitorata da due strutture: la Gendarmeria vaticana (di fatto la polizia locale) e la Guardia Svizzera Pontificia. Nonostante l’uniforme storica con maniche a sbuffo e alabarde, le guardie sono addestrate secondo gli standard delle forze speciali e hanno a disposizione armi moderne, dalle mitragliatrici ai lanciagranate.
La superficie dello Stato stesso è di soli 0,44 chilometri quadrati. Tuttavia, il giorno dell’annuncio del nuovo Papa, qui accorreranno decine di migliaia di pellegrini, giornalisti, diplomatici e fedeli. Si stima che il numero di visitatori raggiungerà i 200.000.
Poiché ogni smartphone è una potenziale macchina fotografica e fonte di perdite, il Vaticano è costretto ad agire come una fortezza high-tech a protezione della segretezza del momento che deciderà il futuro di 1,5 miliardi di cattolici in tutto il mondo.
In un precedente articolo abbiamo esplorato il calcolo parallelo nel mondo dell’informatica. Ora ci concentreremo su come le più recenti innovazioni tecnologiche nelle architetture hardware per il calcolo ad alte prestazioni costituiscano la base delle moderne rivoluzioni tecnologiche. La diffusione di tecnologie come l’intelligenza artificiale, cybersicurezza e la crittografia avanzata possono risultare disorientante per chi non le conosce. Con questo breve articolo, ci proponiamo di offrire una “lampada di Diogene”, per illuminare un tratto della complessa strada verso la comprensione di queste nuove tecniche, aiutandoci ad affrontarle con spirito critico e consapevole, anziché accettarle passivamente come dei moderni oracoli di Delfi.
Analizzeremo il percorso storico del calcolo parallelo, dalla macchina Colossus di Bletchley Park degli anni ’40 fino all’attuale evoluzione tecnologica. Approfondiremo i meccanismi che hanno guidato questo sviluppo e sveleremo qualche dettaglio dei meccanismi fondamentali del calcolo parallelo.
La storia dei supercomputer inizia con la macchina Colossus, che affrontava enormi problemi con una potenza che ricordava quella di Golia. Oggi, invece, servono strategie più sofisticate. Con l’aumento della complessità e dei limiti fisici, spingere la velocità dei processori (il clock) e seguire la Legge di Moore è diventato sempre più impegnativo. Per questo motivo, il parallelismo si è rivelato una soluzione cruciale per migliorare le prestazioni. I moderni processori sono dotati di più core. Utilizzano tecniche come l’hyperthreading, che consente l’elaborazione contemporanea di più thread su un unico processore, e impiegano unità vettoriali per eseguire più istruzioni simultaneamente. Grazie a questi sviluppi, persino dispositivi come notebook, workstation o smartphone possono competere con le capacità dei supercomputer di vent’anni fa, che occupavano intere stanze.
Proprio come nella celebre sfida tra Davide e Golia, i supercomputer sono progettati per eseguire calcoli e risolvere problemi estremamente complessi – dalle previsioni meteorologiche alle simulazioni per la creazione di nuovi farmaci e modelli per l’esplorazione dell’universo – mentre i personal computer, agili e accessibili, rispondono alle esigenze quotidiane.
La classificaTop 500 di Jack Dongarra, aggiornata due volte all’anno, testimonia questa incessante competizione tecnologica. Tra i protagonisti del 2024, spicca il supercomputer El Capitan, che ha raggiunto la vetta con una capacità di calcolo di 1.742 exaflop.
Sviluppato presso il Lawrence Livermore National Laboratory negli Stati Uniti, questo sistema utilizza processori AMD di quarta generazione e acceleratori MI300A, garantendo prestazioni straordinarie grazie a un’architettura avanzata basata sul Symmetric Multiprocessing (SMP). L’approccio, paragonabile a un’orchestra in cui i processori collaborano armonicamente condividendo la stessa memoria, rappresenta il culmine della potenza del calcolo parallelo..
Cos’è un Supercalcolatore?
Un supercalcolatore è un sistema informatico progettato per garantire prestazioni di calcolo straordinarie, nettamente superiori a quelle dei computer tradizionali. La sua definizione non è cristallizzata nel tempo, ma si evolve costantemente con i progressi tecnologici. Un sistema considerato all’avanguardia nel 2000 potrebbe oggi essere del tutto obsoleto, a causa dei rapidi avanzamenti dell’informatica.
Queste macchine rivestono un ruolo fondamentale nell’affrontare problemi complessi, tra cui simulazioni scientifiche, analisi di enormi volumi di dati e applicazioni avanzate di intelligenza artificiale. Inoltre, sono strumenti chiave anche nel campo della cybersicurezza, dove la capacità di elaborare dati in tempi rapidi può fare la differenza.
Classificare i Supercalcolatori
I supercalcolatori vengono valutati in base a differenti parametri, tra cui il concetto di application-dependent, ossia il tempo necessario per risolvere un problema specifico. Un sistema può eccellere in un compito ma risultare meno efficiente in un altro, a seconda della natura dell’applicazione.
Dal 1993, la lista Top500 classifica i 500 supercalcolatori più potenti al mondo e viene aggiornata due volte l’anno (giugno e novembre). La classifica si basa sul benchmark LINPACK, che misura la capacità di risolvere sistemi di equazioni lineari, impiegando il parametro chiave Rmax (prestazione massima ottenuta).
Nell’edizione di novembre 2024, El Capitan domina al primo posto, essendo il terzo sistema a superare la soglia dell’exascale computing (10^18 FLOPS), seguito da Frontier e Aurora. Il supercomputer europeo Leonardo, ospitato dal Cineca di Bologna, si posiziona al nono posto, con 1,8 milioni di core, un Rmax di 241,20 PFlop/s (milioni di miliardi di operazioni al secondo) e una prestazione teorica di picco di 306,31 PFlop/s.
Viaggio nei Benchmark del Calcolo
Fin dagli albori dell’era informatica, il benchmarking ha rappresentato uno strumento fondamentale per valutare le prestazioni dei computer. Il primo esempio risale al 1946, quando l’ENIAC utilizzò il calcolo di una traiettoria balistica per confrontare l’efficienza tra uomo e macchina, prefigurando un lungo percorso evolutivo nel campo della misurazione computazionale.
Negli anni ‘70, il benchmarking assunse una forma più sistematica. Nel 1972 nacque Whetstone, uno dei primi benchmark sintetici, ideato per misurare le istruzioni per secondo -una metrica chiave per comprendere come una macchina gestisse operazioni di base – e successivamente aggiornato per includere le operazioni in virgola mobile. Nel 1984 arrivò Dhrystone, concepito per valutare le prestazioni nei calcoli interi; questo benchmark fu adottato come standard industriale fino all’introduzione della suite SPECint, che offrì una misurazione più aderente ai carichi di lavoro reali.
Parallelamente, nel 1979, Jack Dongarra introdusse Linpack, un benchmark dedicato alla risoluzione di sistemi di equazioni lineari e divenuto un riferimento nel calcolo scientifico. Questo strumento non solo ispirò lo sviluppo di software come MATLAB, ma pose anche le basi per l’evoluzione dei benchmark destinati ai supercomputer. Con l’evolversi delle esigenze computazionali, Linpack si trasformò nell’HPL (High Performance Linpack), attualmente utilizzato per stilare la prestigiosa classifica Top500, che evidenzia il continuo progresso nella misurazione della potenza di calcolo.
Il panorama dei benchmark si è ulteriormente arricchito con l’introduzione di strumenti come HPC Challenge e i NAS Parallel Benchmarks. L’era del machine learning ha, infine, visto la nascita di benchmark specifici per il training e l’inferenza, capaci di valutare le prestazioni sia di dispositivi a risorse limitate sia di potenti data center. Questi strumenti sono nati in risposta a precise esigenze operative e di mercato, dimostrando come ciascuna innovazione nel campo del benchmarking risponda a uno stadio evolutivo ben definito della tecnologia.
Avendo tracciato in modo cronologico l’evoluzione dei benchmark, appare naturale approfondire anche i modelli teorici che hanno permesso lo sviluppo di tali tecnologie. In questo contesto, la tassonomia di Flynn è essenziale, in quanto ha gettato le basi per l’architettura parallela moderna e continua a guidare la progettazione dei sistemi informatici odierni. Data Center
Tassonomia di Flynn e l’Ascesa del SIMT
Per comprendere meglio il funzionamento di CUDA, è utile considerare la Tassonomia di Flynn, un sistema di classificazione delle architetture dei calcolatori proposto da Flynn nel 1966. Questo schema classifica i sistemi di calcolo in base alla molteplicità dei flussi di istruzioni (instruction stream) e dei flussi di dati (data stream) che possono gestire, risultando in quattro categorie principali:
SISD (Single Instruction, Single Data): Un computer sequenziale in cui l’unità di elaborazione esegue un’unica istruzione su un singolo flusso di dati in ogni ciclo di clock. Questa architettura, molto datata, era tipica dei vecchi sistemi a CPU singola.
SIMD (Single Instruction, Multiple Data): Un tipo di computer parallelo nel quale le unità di elaborazione possono eseguire la stessa istruzione su diversi flussi di dati in ogni ciclo di clock. Architettura impiegata in array di processori e pipeline vettoriali, è utilizzata anche nelle GPU moderne.
MISD (Multiple Instruction, Single Data): Diversi processori eseguono istruzioni differenti sullo stesso dato. Questa configurazione è estremamente rara e principalmente teorica.
MIMD (Multiple Instruction, Multiple Data): Diverse unità di elaborazione eseguono istruzioni differenti su dati distinti. Questa architettura è utilizzata nei supercomputer più avanzati e nei computer multicore moderni.
Le GPU NVIDIA adottano un modello denominato SIMT (Single Instruction, Multiple Thread), nel quale una singola istruzione viene eseguita da numerosi thread in parallelo. Ciascun thread, però, può seguire un percorso leggermente diverso a seconda dei dati e delle condizioni locali. Questo approccio combina l’efficienza del SIMD con la flessibilità del MIMD, risultando estremamente efficace per risolvere problemi complessi in tempi ridotti.
L’evoluzione degli HPC: Ibridismo ed Eterogeneità
Dalle prime architetture MIMD – con memoria condivisa o distribuita – il calcolo ad alte prestazioni (HPC) ha subito una trasformazione profonda. Oggi, i supercomputer non si basano più su un’unica tipologia architetturale, ma su sistemi sempre più complessi e flessibili. Spesso composti da componenti molto diversi tra loro. Questo approccio, detto eterogeneo, permette di unire più paradigmi di elaborazione in un unico sistema, sfruttando al massimo i punti di forza di ciascun componente.
Un esempio evidente è l’uso combinato di CPU e GPU, che rappresentano due filosofie di calcolo diverse ma complementari. Non a caso, le unità grafiche -un tempo riservate esclusivamente al rendering grafico – oggi sono il fulcro dell’HPC e si trovano persino nei laptop di fascia media, rendendo queste tecnologie accessibili a un pubblico molto più ampio. Se la tassonomia di Flynn continua a offrire un utile punto di partenza per classificare i modelli di parallelismo (SISD, SIMD, MISD, MIMD), la realtà attuale va oltre: oggi si parla di sistemi ibridi, dove coesistono differenti stili di parallelismo all’interno dello stesso sistema, e di sistemi eterogenei, in cui unità di calcolo con architetture diverse collaborano sinergicamente.
Questa evoluzione ha aperto nuove frontiere in termini di prestazioni, ma ha anche aumentato la complessità nella valutazione e nel benchmarking dei sistemi, rendendo le misurazioni più difficili e meno lineari.
CUDA
Verso la fine degli anni 2000, NVIDIA ha rivoluzionato il calcolo parallelo introducendo CUDA (Compute Unified Device Architecture). Secondo la letteratura scientifica, CUDA è stata lanciata ufficialmente nel 2006, in concomitanza con l’architettura G80, la prima a supportare pienamente questo modello di programmazione general-purpose su GPU.
CUDA ha reso possibile l’impiego delle GPU per compiti di calcolo generale (GPGPU), superando il loro utilizzo tradizionale nel solo rendering grafico. Grazie al supporto per linguaggi ad alto livello come C, C++ e Fortran, ha semplificato significativamente la programmazione parallela per ricercatori e sviluppatori.
Il paradigma CUDA consente di suddividere problemi complessi in migliaia di task paralleli, eseguiti simultaneamente sulle numerose unità di elaborazione delle GPU. Questo approccio ha avuto un impatto profondo in molteplici ambiti, dalle simulazioni scientifiche all’intelligenza artificiale, fino all’analisi massiva dei dati. L’introduzione della serie G80 ha segnato un punto di svolta, consolidando il modello di calcolo unificato su GPU e aprendo la strada a nuove soluzioni hardware e software.
Il successo di CUDA ha in seguito stimolato la nascita di standard aperti come OpenCL, sviluppato dal Khronos Group e rilasciato nel 2008. OpenCL rappresenta un’alternativa cross-platform e cross-vendor per il calcolo parallelo su hardware eterogeneo, inclusi GPU, CPU e FPGA.
Dal punto di vista architetturale, CUDA si basa sul modello di programmazione SIMT (Single Instruction, Multiple Threads), che consente l’esecuzione di una stessa istruzione su migliaia di thread paralleli, ciascuno con dati e percorsi di esecuzione distinti. Un programma CUDA è composto da due sezioni: una che gira sulla CPU (host) e una che viene eseguita sulla GPU (device). La parte parallelizzabile del codice viene lanciata sulla GPU come kernel, una funzione che viene eseguita da un elevato numero di thread secondo il modello SPMD (Single Program, Multiple Data).
GPU CUDA
Le GPU CUDA sono organizzate in array di Streaming Multiprocessors (SM), unità operative che integrano CUDA Core, una memoria condivisa veloce e uno scheduler per gestire e distribuire i task. Questi SM permettono di ottenere elevate prestazioni nel calcolo parallelo, grazie anche a una memoria globale ad alta velocità (GDDR) con ampia banda passante.
CUDA C/C++, estensione dei linguaggi C e C++ realizzata da NVIDIA, consente agli sviluppatori di accedere direttamente alle risorse parallele delle GPU, abbattendo le barriere che tradizionalmente ostacolavano l’adozione della programmazione parallela. Questo ha favorito la crescita delle applicazioni GPGPU ad alte prestazioni in ambito scientifico, industriale e accademico.
In sintesi, CUDA ha segnato un vero cambio di paradigma nel calcolo parallelo, rendendo accessibile a un pubblico più ampio la possibilità di sfruttare la potenza delle GPU per applicazioni general-purpose e aprendo la strada a innovazioni nei settori più avanzati dell’informatica.
Da GPU a GPGPU: Il Potere del Calcolo Parallelo
L’evoluzione delle GPU ha portato alla nascita delle GPGPU (General-Purpose GPU), trasformandole da unità dedicate al rendering grafico in acceleratori di calcolo parallelo complementari alle CPU.
Grazie alla loro architettura con molti core semplici, le GPGPU eccellono nell’elaborazione simultanea di grandi volumi di dati, offrendo vantaggi significativi:
Scalabilità: Permettono l’integrazione di un numero elevato di core.
Efficienza: Bilanciano il carico di lavoro tra i core in maniera uniforme.
Velocità: Accelerano i calcoli ripetitivi e paralleli.
A differenza delle CPU, ottimizzate per gestire compiti complessi con pochi core potenti e una cache veloce, le GPGPU brillano in operazioni ripetitive. La loro struttura, paragonabile a una squadra di numerosi operai che lavorano simultaneamente su un mosaico di dati, consente di completare attività in tempi significativamente ridotti. Tuttavia, le GPGPU non sostituiscono le CPU, ma le supportano, gestendo compiti paralleli e migliorando l’efficienza complessiva in campi come l’intelligenza artificiale e l’analisi dei dati.
Streaming Multiprocessors: La Fucina del Parallelismo
Gli Streaming Multiprocessors (SM) rappresentano le unità operative fondamentali all’interno di un acceleratore grafico. Ogni SM include i CUDA Core, una sezione di memoria condivisa e uno scheduler dedicato, incaricato di organizzare e distribuire il lavoro tra i core.
A differenza delle CPU, che adottano un’architettura MIMD per gestire compiti eterogenei, le GPU sfruttano gli SM per eseguire in parallelo operazioni ripetitive su grandi insiemi di dati, facendo affidamento su una memoria globale ad alta velocità. Questa organizzazione consente di ottenere un’elevata efficacia computazionale nelle applicazioni di calcolo parallelo, come evidenziato da studi pubblicati su riviste scientifiche certificate, tra cui IEEE e ACM.
Breve Storia dell’Evoluzione della GPU
Dai controller VGA ai processori grafici programmabili
All’inizio dell’era informatica, il concetto stesso di GPU non esisteva. La grafica sui PC era gestita da un semplice controller VGA (Video Graphics Array), un gestore di memoria e generatore di segnale video collegato a una memoria DRAM.
Negli anni ’90, grazie ai progressi nella tecnologia dei semiconduttori, questi controller iniziarono a integrare capacità di accelerazione grafica tridimensionale: hardware dedicato per la preparazione dei triangoli, la rasterizzazione (scomposizione dei triangoli in pixel), il mapping delle texture e lo shading, ovvero l’applicazione di pattern o sfumature di colore.
Con l’inizio degli anni 2000, il processore grafico divenne un chip singolo capace di gestire ogni fase della pipeline grafica, una prerogativa fino ad allora esclusiva delle workstation di fascia alta. A quel punto il dispositivo assunse il nome di GPU, per sottolineare la sua natura di vero e proprio processore specializzato.
Nel tempo, le GPU si sono evolute in acceleratori programmabili massivamente paralleli, dotati di centinaia di core e migliaia di thread, capaci di elaborare non solo grafica ma anche compiti computazionali generici (GPGPU). Sono state inoltre introdotte istruzioni specifiche e hardware dedicato alla gestione della memoria, insieme a strumenti di sviluppo che permettono di programmare queste unità con linguaggi come C e C++, rendendo le GPU veri e propri processori multicore altamente parallelizzati.
In sintesi, l’evoluzione dal Colossus fino alle moderne unità grafiche e architetture ibride racconta un percorso tecnologico dinamico e in continua trasformazione. Queste innovazioni non solo hanno rivoluzionato il modo di elaborare dati, ma stanno anche ridefinendo le possibilità in settori strategici come l’intelligenza artificiale e la cybersicurezza e la crittografia.
Guardando al futuro, è evidente che l’integrazione di paradigmi eterogenei continuerà a guidare lo sviluppo di sistemi sempre più potenti ed efficienti, ponendo sfide avvincenti per ricercatori, ingegneri e sviluppatori di tutto il mondo.
Un gruppo di aggressori informatici ha iniziato a sfruttare la piattaforma Gamma, uno strumento per la creazione di presentazioni basato sull’intelligenza artificiale, in un nuovo attacco di phishing in più fasi. Durante l’attacco, le vittime vengono reindirizzate a una falsa pagina di accesso a Microsoft SharePoint, dove vengono rubate le loro credenziali.
I ricercatori di Abnormal Security segnalato che il file PDF allegato all’e-mail è in realtà un collegamento a una presentazione Gamma camuffata da visualizzatore di documenti protetto. Cliccando sul collegamento, la vittima viene indirizzata a una pagina intermedia che imita un servizio Microsoft ed è protetta dal CAPTCHA di Cloudflare Turnstile. Ciò crea un’apparenza di legittimità e riduce la probabilità di un’analisi di sicurezza automatizzata.
Il passaggio successivo consiste nel reindirizzamento a una pagina di accesso falsa di Microsoft SharePoint, dove gli aggressori utilizzano il meccanismo Adversary-in-the-Middle (AitM) per verificare le credenziali in tempo reale, visualizzando un messaggio di errore se viene inserita una password errata.
Tali attacchi sono noti come Living-off-Trusted-Sites (LoTS) e sfruttano servizi online legittimi per ospitare contenuti dannosi, aggirando così i controlli SPF, DKIM e DMARC. Utilizzando strumenti meno noti come Gamma, gli aggressori eludono i sistemi di rilevamento automatico e ingannano gli utenti. La piattaforma di presentazione diventa non solo un mezzo di mascheramento, ma anche parte di un’intera catena di reindirizzamenti che nascondono il vero scopo dell’attacco.
Gli attacchi di phishing stanno diventando sempre più sofisticati e sfruttano abilmente strumenti legittimi e servizi affidabili per mascherare schemi dannosi. L’incidente di Gamma dimostra che anche tecnologie apparentemente innocue possono essere trasformate in parte di una catena di hacking attentamente progettata.
I meccanismi di difesa concepiti per affrontare minacce semplici sono impotenti contro gli attacchi che si basano sulla fiducia in marchi noti e su percorsi di reindirizzamento complessi. Ciò evidenzia la necessità di una revisione continua degli approcci alla sicurezza informatica e di un maggiore controllo sull’uso non standard dei servizi familiari.
Con il rapido evolversi delle minacce informatiche, la cybersecurity deve sviluppare soluzioni sempre più avanzate e resilienti. Un approccio innovativo consiste nella trasformazione e nell’evoluzione dell’intelligenza artificiale verso un’intelligenza ispirata a quella biologica, un modello che applica i principi e i processi della biologia alla sicurezza informatica.
Questo approccio si ispira a meccanismi naturali, come l’adattamento degli organismi viventi, il sistema immunitario e le reti neurali biologiche. Queste ultime, costituite da interconnessioni interneuronali nel cervello e nel sistema nervoso periferico, sono in grado elaborare informazioni, anche sofisticate, attraverso segnali elettrici e neurochimici supportando funzioni fondamentali come apprendimento, memoria ed adattamento.
Negli ultimi anni, grazie all’impiego di modelli neuromorfici come i chip Loihi di Intel si stanno sviluppando architetture hardware che replicano fedelmente il comportamento del cervello umano, potenziando i sistemi di difesa attiva.
L’intelligenza biologica
Questo tipo di intelligenza utilizza l’osservazione e l’imitazione di questi processi per progettare sistemi di difesa informatica più robusti ed efficaci. Grazie alla capacità di adattamento, resilienza e risposta rapida dei meccanismi biologici, è possibile integrare queste dinamiche con le tecnologie avanzate per creare soluzioni capaci di identificare, prevenire e contrastare le minacce emergenti nel cyberspazio, garantendo flessibilità ed efficienza in un contesto in costante evoluzione.
L’intelligenza biologica è la capacità degli organismi viventi di adattarsi, apprendere e rispondere agli stimoli esterni in modo efficace e resiliente.
Applicata alla cybersecurity, questa idea ispira la creazione di sistemi informatici avanzati, in grado di:
Adattamento Dinamico
Proprio come gli organismi viventi si adattano ai cambiamenti ambientali, I sistemi di sicurezza informatica necessitano di una evoluzione continua per fronteggiare costantemente le nuove minacce in modo fattivo.
Oggi, grazie all’uso di modelli di AI generativa, come GPT-4 e Claude, integrati in strumenti SIEM (Security Information and Event Management), si riescono a generare automaticamente piani di risposta agli incidenti adattivi.
Apprendimento Continuo
Così come il cervello umano impiega i sistemi corticali, sottocorticali e limbici per affrontare e gestire le esperienze emotive quotidiane, allo stesso modo la cybersecurity elabora, a velocità straordinarie, dati ed esperienze, sia positive che negative, per adattare ed evolvere costantemente le proprie difese.
Le piattaforme XDR (Extended Detection and Response) ora integrano modelli di reinforcement learning per migliorare la precisione nel rilevamento delle minacce
Seguendo l’esempio dei sistemi biologici, noti per la loro capacità di resistere, aggiornando la produzione di nuovi anticorpi e rirendersi rapidamente pi efficaci di prima, così le infrastrutture informatiche devono essere progettate per garantire continuità operativa anche in caso di attacchi o malfunzionamenti.
Applicazioni dell’Intelligenza Biologica nella Cybersecurity
Sistemi Immunitari Artificiali (AIS)
Sono modelli ispirati al sistema immunitario umano, creati per rilevare e fermare le minacce informatiche. Un esempio importante è l’algoritmo delle cellule dendritiche (DCA), rilevando e reagendo agli agenti patogeni attivano la risposta immunitaria contro le infezioni. Analogamente il DCA nella cybersecurity offre una protezione attiva e dinamica, individuando e analizzando le anomalie in tempo reale per contrastare intrusioni e attacchi.
Gli Algoritmi Evolutivi
Ispirati alla selezione naturale ed all’evoluzione, sono utilizzati per risolvere problemi complessi attraverso un processo di ottimizzazione. In cybersecurity, questi algoritmi vengono impiegati per creare chiavi crittografiche sicure e firewall adattivi che evolvendosi autonomamente rispondono alle nuove minacce ed agli attacchi.
Recenti studi hanno dimostrato che l’algoritmo “NEAT” (NeuroEvolution of Augmenting Topologies) può ottimizzare dinamicamente la struttura di reti neurali difensive contro ransomware polimorfici.
Biometria Comportamentale
Attraverso l’analisi dei comportamenti distintivi degli utenti, come la velocità di digitazione e i movimenti del mouse, è possibile sviluppare sistemi di autenticazione continua in grado di rilevare accessi non autorizzati. Questi sistemi identificano anomalie confrontando i comportamenti rilevati con i modelli abituali degli utenti, garantendo in tempo reale un avanzato livello di sicurezza.
Adattabilità: I sistemi ispirati alla biologia possono modificare le proprie difese in tempo reale, affrontando efficacemente minacce sconosciute o inaspettate.
Scalabilità: Come gli ecosistemi naturali, queste soluzioni possono essere implementate su larga scala senza perdere efficacia, adattandosi a infrastrutture di diverse dimensioni e complessità.
Resilienza: Ispirandosi alla capacità degli organismi viventi di sopravvivere e prosperare in ambienti ostili, i sistemi di cybersecurity biologicamente ispirati sono progettati per resistere a guasti e attacchi, garantendo una continuità operativa anche in condizioni avverse.
Sfide e Considerazioni
Nonostante i notevoli vantaggi, l’integrazione dell’intelligenza biologica nella cybersecurity solleva alcune problematiche significative che meritano attenzione:
Complessità: La strutturazione dei processi biologici richiede una competenza avanzata in molteplici discipline, tra cui biologia, informatica e ingegneria. L’approccio interdisciplinare necessario può risultare difficile da implementare e, talvolta, difficile da coordinare.
Risorse Computazionali: Alcuni algoritmi ispirati ai processi biologici possono essere estremamente esigenti in termini di risorse, necessitando di hardware avanzato e comportando tempi di elaborazione lunghi, il che può limitare la loro applicabilità pratica in scenari ad alta richiesta.
L’emergere di hardware quantistico e neuromorfico mira a ridurre questi limiti nel prossimo decennio.
Privacy e Sicurezza dei Dati: L’uso di dati biometrici e comportamentali solleva legittime preoccupazioni in merito alla protezione delle informazioni personali. La gestione di tali dati impone sfide relative alla conformità con le normative sulla privacy e alla garanzia che le informazioni sensibili siano adeguatamente protette contro l’accesso non autorizzato.
Prospettive Future
L’integrazione dell’intelligenza biologica nella cybersecurity sembra destinata a crescere, con sviluppi che potrebbero aprire nuove frontiere, sebbene non senza sollevare alcune perplessità.
Sistemi di Auto-Guarigione: Si prevede la creazione di reti informatiche in grado di identificare e correggere autonomamente le proprie vulnerabilità, ispirandosi ai processi di rigenerazione biologica. Resta da valutare se questi sistemi possano davvero gestire in modo efficace e sicuro le complessità e le variabili delle minacce in continua evoluzione.
Ecosistemi Digitali Resilienti: La costruzione di infrastrutture che imitano la biodiversità degli ecosistemi naturali per migliorare la resistenza alle minacce cibernetiche potrebbe rappresentare una soluzione interessante. Tuttavia, la realizzazione di tali ecosistemi digitali comporta rischi legati alla loro complessità e alla difficoltà di prevedere tutte le possibili interazioni tra i diversi elementi.
Interfacce Uomo-Macchina Evolute: Lo sviluppo di interazioni più naturali ed efficienti tra esseri umani e sistemi informatici, basate sulla comprensione dei processi cognitivi e comportamentali, offre indubbi vantaggi. Tuttavia, la sfida risiede nell’assicurarsi che queste interfacce siano veramente sicure e in grado di rispondere in modo adeguato alla varietà dei comportamenti umani, senza compromettere la privacy o la sicurezza.
L’impiego di BCI (Brain-Computer Interfaces) è già in fase avanzata nei laboratori di Neuralink e Blackrock Neurotech https://neuralink.com
Conclusione
L’approccio biologico alla cybersecurity rappresenta un’interessante prospettiva innovativa per rispondere alle sfide delle minacce informatiche moderne. Ispirandosi ai processi naturali, offre il potenziale per sviluppare sistemi più adattivi, resilienti ed efficaci, capaci di rispondere in modo dinamico alle nuove vulnerabilità.
L’adozione concreta di queste soluzioni dipenderà fortemente dalla collaborazione tra settore pubblico, accademico e industriale, in particolare per bilanciare progresso, etica e sostenibilità. Pertanto, vista la complessità delle interazioni tra biologia ed informatica, emergono numerosi interrogativi su come tradurre i principi biologici in soluzioni tecnologiche applicabili.
Non possiamo sottovalutare le enormi difficoltà nel creare modelli che davvero emulino la complessità dei sistemi biologici, né le sfide etiche e pratiche che tale integrazione impone. Per questo, è fondamentale un impegno costante e multidisciplinare, che unisca esperti di etica, biologia, informatica e sicurezza, per affrontare questi ostacoli e affinare le soluzioni del futuro, garantendo il loro impatto duraturo e positivo.
Ti piace giocare da solo? Ubisoft ti tiene ancora d'occhio! Ubisoft obbliga le persone a connettersi a Internet prima di poter giocare in single player mickey24 April 2025
I dieci comandamenti di Friendica. Cosa fare con l’account che abbiamo aperto su Poliverso?
Ecco una sorta di decalogo su Friendica. Ci sono molti link che possono appesantire la lettura, ma speriamo che vi piaccia e soprattutto ci auguriamo che lo troviate utile!
Strenghtening FDM prints has been discussed in detail over the last years. Solutions and results vary as each one’s desires differ. Now [TenTech] shares his latest improvements on his post-processing script that he first created around January. This script literally bends your G-code to its will – using non-planar, interlocking sine wave deformations in both infill and walls. It’s now open-source, and plugs right into your slicer of choice: PrusaSlicer, OrcaSlicer, or Bambu Studio. If you’re into pushing your print strength past the limits of layer adhesion, but his former solution wasn’t quite the fit for your printer, try this improvement.
Traditional Fused Deposition Modeling (FDM) prints break along layer lines. What makes this script exciting is that it lets you introduce alternating sine wave paths between wall loops, removing clean break points and encouraging interlayer grip. Think of it as organic layer interlocking – without switching to resin or fiber reinforcement. You can tweak amplitude, frequency, and direction per feature. In fact, the deformation even fades between solid layers, allowing smoother transitions. Structural tinkering at its finest, not just a cosmetic gimmick.
This thing comes without needing a custom slicer. No firmware mods. Just Python, a little G-code, and a lot of curious minds. [TenTech] is still looking for real-world strength tests, so if you’ve got a test rig and some engineering curiosity, this is your call to arms.
Secondo un osservatore, la sentenza colpisce la strategia fondamentale di NSO Group nel caso in questione.
La scorsa settimana un giudice federale ha imposto limiti rigorosi al tipo di prove che NSO Group può presentare durante un processo per danni nella causa intentata da WhatsApp contro il fornitore di spyware per le accuse di aver hackerato 1.400 utenti della piattaforma di messaggistica.
In base all'ordinanza , a NSO Group è vietato presentare prove sull'identità dei propri clienti, insinuando che gli utenti WhatsApp presi di mira siano presunti o veri criminali, o sostenendo che WhatsApp non disponesse di sufficienti misure di sicurezza
John Fante – Aspetta primavera, Bandini freezonemagazine.com/rubriche/… Avanzava, scalciando la neve profonda. Era un uomo disgustato. Si chiamava Svevo Bandini e abitava in quella strada, tre isolati più avanti. Aveva freddo, e le scarpe sfondate. Quella mattina le aveva rattoppate con dei pezzi di cartone di una scatola di pasta. Pasta che non era stata pagata. Ci aveva pensato proprio mentre infilava […] L'articolo John Fante – Aspetta primavera,
All'inizio di questo mese, Bluesky ha limitato l'accesso a 72 account in Turchia su richiesta delle autorità governative turche, secondo un recente rapporto della Freedom of Expression Association . Di conseguenza, gli utenti in Turchia non possono più visualizzare questi account e la loro portata è limitata.
Se una tale cosa accadesse nel Poliverso cosa seguirebbe? Se ad esempio Feddit fosse censurato? Dovremmo spostarci su un'altra istanza per continuare a usare Lemmy?
@giorovv alla tua domanda, naturalmente, posso rispondere solo positivamente. Ma qui il problema è ancora diverso, perché non è "Bluesky" come piattaforma a censurare, ma è l'app ufficiale che censura.
È come se tutti gli utenti Lemmy che usano Jerboa venissero limitati nel vedere i contenuti censurati, ma se usi un'altra app puoi aggirare la censura
These days you can run Doom anywhere on just about anything, with things like porting Doom to JavaScript these days about as interesting as writing Snake in BASIC on one’s graphical calculator. In a twist, [Patrick Trainer] had the idea to use SQL instead of JS to do the heavy lifting of the Doom game loop. Backed by the Web ASM version of the analytical DuckDB database software, a Doom-lite clone was coded that demonstrates the principle that anything in life can be captured in a spreadsheet or database application.
Rather than having the game world state implemented in JavaScript objects, or pixels drawn to a Canvas/WebGL surface, this implementation models the entire world state in the database. To render the player’s view, the SQL VIEW feature is used to perform raytracing (in SQL, of course). Any events are defined as SQL statements, including movement. Bullets hitting a wall or impacting an enemy result in the bullet and possibly the enemy getting DELETE-ed.
The role of JavaScript in this Doom clone is reduced to gluing the chunks of SQL together and handling sprite Z-buffer checks as well as keyboard input. The result is a glorious ASCII-based game of Doom which you can experience yourself with the DuckDB-Doom project on GitHub. While not very practical, it was absolutely educational, showing that not only is it fun to make domain specific languages do things they were never designed for, but you also get to learn a lot about it along the way.
When was the last time you saw a computer actually outlast your weekend trip – and then some? Enter the Evertop, a portable IBM XT emulator powered by an ESP32 that doesn’t just flirt with low power; it basically lives off the grid. Designed by [ericjenott], hacker with a love for old-school computing and survivalist flair, this machine emulates 1980s PCs, runs DOS, Windows 3.0, and even MINIX, and stays powered for hundreds of hours. It has a built-in solar panel and 20,000mAh of battery, basically making it an old-school dream in a new-school shell.
What makes this build truly outstanding – besides the specs – is how it survives with no access to external power. It sports a 5.83-inch e-ink display that consumes zilch when static, hardware switches to cut off unused peripherals (because why waste power on a serial port you’re not using?), and a solar panel that pulls 700mA in full sun. And you guessed it – yes, it can hibernate to disk and resume where you left off. The Evertop is a tribute to 1980s computing, and a serious tool to gain some traction at remote hacker camps.
For the full breakdown, the original post has everything from firmware details to hibernation circuitry. Whether you’re a retro purist or an off-grid prepper, the Evertop deserves a place on your bench. Check out [ericjenott]’s project on Github here.
Segnali contraddittori continuano ad arrivare dal fronte diplomatico russo-ucraino, con l’amministrazione Trump che evidenzia sempre più segnali di impazienza di fronte alla fermezza di Mosca e alle resistenze di Kiev ad accettare un accordo per mett…
This week, Jonathan Bennett and Randal Schwartz chat with Allen Firstenberg about Google’s AI plans, Vibe Coding, and Open AI! What’s the deal with agentic AI, how close are we to Star Trek, and where does Open Source fit in? Watch to find out!
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
The foreign ministers of Germany, France and Britain called Israel's blocking of aid into Gaza as "intolerable."
Chissà com'è vivere in un paese dove chi governa considera intollerabile bloccare gli aiuti umanitari e far morire di fame, stenti e malattie una popolazione intera.
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) Quasi due anni fa a Hollywood iniziava uno dei più lunghi scioperi a parte di attori e sceneggiatori che, tra le altre cose, chiedevano tutele rispetto alla comparsa dell'intelligenza
nel giro di una decina d'anni IA avrà sostituito 70% del lavoratori con multinazionali che fattureranno 5 volte più di adesso, a quel punto si dovrà dare per forza un reddito di cittadinanza sostanzioso
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @Informatica (Italy e non Italy 😁) Gli utenti continueranno a lasciare dietro di sé le briciole dei cookie di terze parti durante le navigazioni sul browser Chrome: il dietrofront di Google (che aveva promesso tutt'altro) fa felice chi lavora nella
Durante l’edizione di quest’anno dell’esercitazione militare Balikatan, eseguita congiuntamente dalle forze armate di Washington e di Manila nella regione indo-pacifica, il Corpo dei Marines degli Stati Uniti testerà il Marine Air Defense Integrated System (Madis), uno dei più
Drumboy and Synthgirl from Randomwaves are a a pair of compact electronic instruments, a drum machine and a synthesiser. They are commercial products which were launched on Kickstarter, and if you’re in the market for such a thing you can buy one for yourself. What’s made them of interest to us here at Hackaday though is not their musical capabilities though, instead it’s that they’ve honoured their commitment to release them as open source in the entirety.
So for your download, you get everything you need to build a pair of rather good 24-bit synthesisers based upon the STM32 family of microcontrollers. We’re guessing that few of you will build your own when it’s an easier job to just buy one from Randomwaves, and we’re guessing that this open-sourcing will lead to interesting new features and extensions from the community of owners.
It will be interesting to watch how this progresses, because of course with the files out there, now anyone can produce and market a clone. Will AliExpress now be full of knock-off Drumboys and Synthgirls? It’s a problem we’ve looked at in the past with respect to closed-source projects, and doubtless there will be enterprising electronics shops eyeing this one up. By our observation though it seems to be those projects with cheaper bills of materials which suffer the most from clones, so perhaps that higher-end choice of parts will work in their favour.
Either way we look forward to more open-source from Randomwaves in the future, and if you’d like to buy either instrument you can go to their website.
![Appearance of www.smartmanagerex[.]com](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2025/04/22201230/operation-synchole-watering2.png "Appearance of www.smartmanagerex[.]com")
giorovv
in reply to Informa Pirata • • •Informa Pirata likes this.
Informa Pirata
in reply to giorovv • •@giorovv alla tua domanda, naturalmente, posso rispondere solo positivamente.
Ma qui il problema è ancora diverso, perché non è "Bluesky" come piattaforma a censurare, ma è l'app ufficiale che censura.
È come se tutti gli utenti Lemmy che usano Jerboa venissero limitati nel vedere i contenuti censurati, ma se usi un'altra app puoi aggirare la censura
Che succede nel Fediverso? reshared this.